← Back to all articles

Co je balíček právních důkazů a co obsahuje?

SealDoc Team · · 4 min read

Uložení dokumentu neznamená totéž jako vlastnictví důkazu, že dokument existoval.

Pokud vás daňový úřad, soud nebo regulační orgán požádá, abyste prokázali, že konkrétní faktura byla odeslána k určitému datu, že smlouva byla podepsána před termínem nebo že zpráva o shodě byla podána v původní nezměněné podobě, pouhé předložení dokumentu nestačí. Musíte prokázat, že dokument je pravý, nezměněný a jeho časové razítko je důvěryhodné.

Přesně toto poskytuje balíček právních důkazů.

Co to je

Balíček právních důkazů je strukturovaný archiv, který kombinuje dokument s důkazy potřebnými k jeho ověření. Odpovídá na čtyři otázky, na které samotný dokument odpovědět nemůže:

  1. Existoval tento dokument v tomto okamžiku?
  2. Byl od té doby pozměněn?
  3. Kdo ho zpracoval, kdy a v jakém pořadí?
  4. Odpovídá příslušnému standardu nebo formátu?

Balíček sdružuje důkazy pro všechny čtyři otázky do jednoho auditovatelného artefaktu.

Co obsahuje

Úplný balíček právních důkazů obsahuje minimálně:

Samotný dokument v dlouhodobém archivním formátu. Pro většinu případů shody jde o PDF/A-3: archivní PDF dle ISO 19005 vkládající všechna písma, barevné profily a strukturovaná data, zaručující identické zobrazení v budoucích prohlížečích. Běžné PDF nestačí, protože externí reference na písma, JavaScript a propojené zdroje se mohou změnit nebo zmizet.

Razítko RFC 3161 vázané na hash dokumentu v okamžiku jeho vytvoření. Toto razítko vydává důvěryhodná autorita časového razítka a dokazuje, že dokument existoval ve své přesné podobě v konkrétním okamžiku. Razítko RFC 3161 je technickým ekvivalentem certifikované poštovní zásilky: vydává ho třetí strana, lze ho ověřit offline a nelze ho zpětně přesunout. Datum modifikace souborového systému není ekvivalentem; lze ho změnit bez stopy.

Auditní stopa zaznamenávající každý krok zpracování, který se dokumentu dotkl. Každá položka auditní stopy obsahuje: typ kroku (vytvořen, validován, podepsán, archivován), aktéra, časové razítko a hash stavu dokumentu v daném kroku. Položky jsou propojeny hashovým řetězcem, takže manipulace s jakoukoli jednou položkou zneplatní všechny následující.

Validační zpráva potvrzující, že dokument odpovídá příslušnému standardu v době zpracování. Pro fakturu jde o Schematron validaci EN16931. Pro smlouvu může jít o kontrolu formátu a validaci schématu. Zpráva je součástí balíčku jako strukturovaný artefakt, nikoli pouze příznak splnil/nesplnil.

Manifest se SHA-256 hashy každého souboru v balíčku. To umožňuje auditorovi nezávisle ověřit, že žádný soubor v balíčku nebyl nahrazen nebo pozměněn od jeho vytvoření.

Passport shody shrnující výše uvedené ve strojově čitelné i lidsky čitelné podobě. Toto je artefakt, který předáváte auditorovi: jeden soubor říkající “tento dokument prošel těmito kontrolami, byl orazítkován v tomto čase a má tento průkazný řetězec.”

Kdy ho potřebujete

Požadavky na daňový audit se liší podle zemí, ale vzorec je v celé EU konzistentní: dokument musí být uchován ve formě, která dokazuje integritu a umožňuje ověření. V Německu GoBD požaduje, aby elektronické dokumenty byly archivovány způsobem zabraňujícím následnému pozměnění a umožňujícím rekonstrukci původního stavu. Ve Francii DGFiP požaduje podobné záruky. V Nizozemsku Belastingdienst očekává, že faktury budou archivovány po sedm let ve ověřitelné podobě.

Soudní řízení má podobné požadavky. Pokud se spor o smlouvu dostane k soudu, otázku “existovala tato smlouva v této podobě k tomuto datu” zodpovídají důkazy, nikoli obsah vašeho souborového serveru.

Regulační inspekce (NIS2, GDPR, sektorově specifické: zdravotnictví, finance, pojišťovnictví) stále více vyžadují důkazy o procesu, nejen o výsledcích. Balíček důkazů poskytuje obojí.

Co samotný dokument nenabízí

PDF ve složce na souborovém serveru vám neřekne nic o tom:

  • Zda PDF existovalo před dneškem
  • Zda bylo od vytvoření pozměněno
  • Jakým zpracováním prošlo před uložením
  • Zda odpovídá jakémukoli příslušnému standardu

Všechny tyto věci vyžadují vnější důkazy. Razítko RFC 3161 stanoví kdy. Hashový řetězec stanoví jaká posloupnost událostí proběhla. Validační zpráva stanoví shodu. Manifest stanoví, že nic z výše uvedeného nebylo manipulováno.

Bez balíčku máte dokument. S balíčkem máte důkaz.

Rozdíl mezi archivací a důkazem

Většina systémů správy dokumentů poskytuje archivaci: dokument je uložen na místě, kde ho nelze snadno pozměnit. Archivace řeší problém přístupu a uchovávání.

Důkaz je něco jiného. Důkaz znamená, že existence dokumentu, jeho forma a původ mohou být ověřeny stranou, která se nepodílela na jeho vytvoření, s použitím informací, které nemůže manipulovat původní správce.

Hash orazítkovaný autoritou třetí strany toto kritérium splňuje. Soubor uložený na vašem vlastním serveru s vašimi vlastními zálohovacími logy a vašimi vlastními zásadami uchovávání toto nesplňuje. Nejde o teoretický rozdíl. To je otázka, kterou auditor položí.

SealDoc a balíčky právních důkazů

SealDoc generuje balíček právních důkazů jako strukturovaný výstup pro každý zpracovaný dokument. Balíček je jediný soubor ZIP obsahující dokument PDF/A-3, token razítka RFC 3161, auditní stopu s hashovým řetězcem, validační zprávu a manifest. Každá komponenta je strojově ověřitelná bez kontaktování SealDoc: razítko lze ověřit vůči veřejnému certifikátu vydávající autority, hashe lze přepočítat ze souborů v balíčku a řetězec auditní stopy lze validovat lokálně.

Pokud vaše organizace potřebuje prokázat integritu dokumentu auditorovi, regulátorovi nebo soudu, balíček důkazů je artefakt, který předložíte. Nevyžaduje žádnou další přípravu, protože důkazy byly zachyceny v okamžiku zpracování.

← Back to all articles